Dieser Artikel ist Teil eins einer zweiteiligen Serie mit Einblicken von Z2Data CEO Mohammad Ahmad, der untersucht, wie eine neue Generation von Störungen die Betrachtung und Umsetzung von Lieferantenrisikoanalysen verändert und was Hersteller tun müssen, um Risiken ihrer Halbleiterlieferanten erfolgreich zu bewerten. Lesen Sie Teil 2 „Developing and Implementing a Risk Model for the Semiconductor Supply Chain“ hier.
Der Halbleiter-Lieferengpass, der 2020 begann und bis weit ins Jahr 2023 andauerte, war in nahezu jeder Hinsicht eine Katastrophe für die Lieferkette. Diese historische Störung legte Produktionen lahm und verzerrte das Verhältnis von Angebot und Nachfrage in einer breiten Palette von Branchen – was der US-Wirtschaft allein 2021 mehr als 200 Milliarden US-Dollar kostete, tausende Arbeitsplätze vernichtete und zu weitgehend irreversiblen Preiserhöhungen bei essenziellen Produkten führte.
Für viele Organisationen verdeutlichte dieses Ereignis – ebenso wie weitere Herausforderungen bei Beschaffung und Sourcing der letzten vier Jahre – die wachsende Relevanz des Lieferantenrisikos. Unternehmen, die Störungen früher mit einer informellen Ad-hoc-Herangehensweise begegneten, erkannten plötzlich die Dringlichkeit – ja die strategische Notwendigkeit – einer proaktiven, vorausschauenden Bewertung der Gefahren, die von ihrer Lieferkette und deren Akteuren ausgehen. Die kollektive Erkenntnis: Unternehmen können Risiken vor deren Eintreten identifizieren, bewerten und abmildern, bevor sie sich in Form von Werksstillstand, regulatorischen Problemen oder einer Obsoleszenzkrise auswirken.
Was ist eine Lieferantenrisikoanalyse?
Glücklicherweise können sich Hersteller, Importeure und weitere Stakeholder, die Risiken ihrer Lieferanten analysieren möchten, auf bewährte Verfahren stützen. Lieferantenrisikoanalysen gibt es in unterschiedlicher Form bereits seit Jahrzehnten. Eine Risikoanalyse – auch Risikobewertung genannt – ist ein Rahmenwerk oder ein Satz von Kriterien, mit denen Risiken eines bestimmten Lieferanten erkannt und bewertet werden. Solche strukturierten Bewertungen sind ein zentraler Bestandteil des umfassenderen Lieferkettenrisikomanagements, das das National Institute of Standards and Technology (NIST) nützlich definiert als einen „systematischen Prozess zum Management von Lieferkettenrisiken durch Identifikation von Anfälligkeiten, Schwachstellen und Bedrohungen entlang der gesamten Lieferkette sowie Entwicklung geeigneter Gegenmaßnahmen“.
Eine Risikoanalyse – auch Risikobewertung genannt – ist ein Rahmenwerk oder ein Satz von Kriterien, mit denen Risiken eines bestimmten Lieferanten erkannt und bewertet werden.
Lieferantenrisikobewertungen sind ein Grundpfeiler erfolgreichen Lieferkettenrisikomanagements. Durch Entwicklung und Implementierung dieser gezielten Prüfungen können Unternehmen potenzielle Anbieter mittels standardisiertem Auswahlprozess bewerten und ein präzises Verständnis davon gewinnen, wie spezifische Schwachstellen aus der Vergangenheit erneut und mit hohen Kosten auftreten könnten. Zudem gehört diese Praxis zu den effektivsten Strategien, eine agile, flexible Haltung gegenüber der Lieferkette zu wahren.
„Das ist sehr wichtig, weil Sie damit potenziellen Problemen, die Ihre Lieferkette und damit die Lieferung oder Fertigung Ihres Endprodukts beeinträchtigen könnten, immer einen Schritt voraus sind“, so Mohammad Ahmad, CEO der Lieferkettenrisikomanagement-Plattform Z2Data. Solche Bewertungen sind laut Ahmad aber mehr als nur Risiko-Profile – sie dienen zudem als umfassende Lieferanten-Dossiers, die in den unterschiedlichsten Entscheidungsprozessen richtungsweisend sein können. „Eine zentrale Herausforderung heutzutage ist: Wie viel wissen Sie wirklich über Ihre Lieferanten?“, so Ahmad weiter. „Jeder will Transparenz über seine Lieferanten.“
„Eine zentrale Herausforderung heutzutage ist: Wie viel wissen Sie wirklich über Ihre Lieferanten?“, so Ahmad weiter. „Jeder will Transparenz über seine Lieferanten.“
Die Lieferantenrisikoanalyse ist an sich nichts Neues. Sie wird jedoch zunehmend nicht mehr als freiwillige Maßnahme, sondern als integraler Bestandteil eines wirksamen Lieferkettenrisikomanagements betrachtet. In einem so komplexen und turbulenten Jahrzehnt wie den 2020er-Jahren sind Unternehmen, die Risiken gezielt identifizieren und analysieren können – und damit Transparenz gegenüber ihren Lieferanten gewinnen –, im klaren Vorteil.
Die wichtigsten Kriterien für eine Lieferantenrisikoanalyse
Traditionell konzentrierten sich Hersteller bei einer Risikoanalyse auf einige Kernelemente ihrer Lieferanten, darunter Finanzkennzahlen, Produktqualität und Ruf. Unternehmen beurteilten das Risikoexposure ihrer Lieferanten und berechneten daraus einen Gesamtscore, der das kumulierte Risikoprofil widerspiegeln sollte.
Heute ist das Risikoumfeld für Hersteller und deren Lieferketten wesentlich dichter und weniger verzeihend. Die Vielzahl an bestehenden Bedrohungen wird durch neue Herausforderungen verstärkt, die auf die heutigen Umwelt- und geopolitischen Bedingungen zurückzuführen sind. Dabei wirken menschliche und natürliche Einflüsse zusammen, um die Volatilität weiter zu verstärken. Infolgedessen müssen Unternehmen heute zusätzliche Risikokriterien berücksichtigen, wie etwa eine Historie der regulatorischen Compliance und die geografischen Standorte ihrer Lieferanten. Vor allem letztere sind zunehmend zentral, da sie die Anfälligkeit eines Lieferanten für Risiken wie Naturkatastrophen, geopolitische Spannungen und Handelskonflikte widerspiegeln.
Heute ist das Risikoumfeld für Hersteller und deren Lieferketten wesentlich dichter und weniger verzeihend.
Unternehmen mussten immer schon einkalkulieren, dass Lieferanten durch Extremwetterereignisse wie Taifune, Tornados oder Überschwemmungen betroffen sein können. Der wachsende Einfluss des Klimawandels hat die Häufigkeit solcher zerstörerischen Naturkatastrophen jedoch deutlich beschleunigt. Laut dem Amt der Vereinten Nationen für Katastrophenvorsorge (UNDRR) hat sich die Anzahl „großflächiger Katastrophen“ pro Jahr seit Beginn des Jahrhunderts mehr als verdreifacht und liegt nun jährlich zwischen 350 und 500. Viele Prognosen gehen davon aus, dass diese Zahlen in den kommenden Jahren noch deutlich steigen werden.
In den letzten fünf Jahren setzen führende Regierungen und internationale Organisationen verstärkt auf verbindliche Maßnahmen, um Unternehmen hinsichtlich ihres Beitrags zum Klimawandel stärker in die Verantwortung zu nehmen. Nachhaltigkeitsbewegungen und ESG (environmental, social, and governance)-Anforderungen gehen zunehmend in konkrete, rechtsverbindliche Vorschriften weltweit über. Diese Zunahme neuer Regelwerke stellt für Hersteller und weitere Akteure der Lieferkette eine zusätzliche Kategorie von Risiken dar, da sie immer mehr neuen Nachhaltigkeitsvorgaben entsprechen müssen. Regelwerke wie CSRD, CS3D und die neuen Klimaberichtspflichten der SEC treten weltweit in Kraft, wodurch Lieferanten in eine neue Risikozone geraten.
Regelwerke wie CSRD, CS3D und die neuen Klimaberichtspflichten der SEC treten weltweit in Kraft, wodurch Lieferanten in eine neue Risikozone geraten.
Als wäre dies nicht schon herausfordernd genug, rückt jetzt auch das schnelle Entstehen von Cybersecurity-Risiken in den Fokus. Jüngste Cyberattacken von bislang nie erreichtem Umfang und Ausmaß haben diese Bedrohung auf dramatische Weise verdeutlicht. Die SolarWinds-Attacke durch russische Akteure im Jahr 2020 sowie der Microsoft-Exchange-Datenklau 2021 durch eine mit dem chinesischen Ministerium für Staatssicherheit verbundenen Gruppe belegen die beunruhigende Entwicklung staatlich unterstützter Cyberkriminalität. Während diese hochspezialisierten Hackergruppen und ihre staatlichen Förderer immer offensiver agieren, wächst das Risiko für multinationale Unternehmen rund um den Globus – durch Datenlecks, Malware-Angriffe und umfassende Sicherheitsvorfälle.
Hersteller in den USA sowie weitere Unternehmen, die heute von mehreren Lieferanten und Sub-Tiers abhängig sind, stehen somit einer einfachen, unumstößlichen Wahrheit gegenüber: Das Lieferkettenrisikomanagement hat sich nachweislich weiterentwickelt. Wer seine eigene Lieferantenrisikoanalyse erstellt, sollte daher nicht nur die bekannten Störgrößen der Vergangenheit berücksichtigen. Unternehmen müssen die Vielzahl neuer Bedrohungen erkennen, die inzwischen viele Fertigungsnetzwerke prägen.
Hersteller in den USA sowie weitere Unternehmen, die heute von mehreren Lieferanten und Sub-Tiers abhängig sind, stehen somit einer einfachen, unumstößlichen Wahrheit gegenüber: Das Lieferkettenrisikomanagement hat sich nachweislich weiterentwickelt.
Insgesamt gibt es mittlerweile mindestens ein halbes Dutzend Risiken in der Lieferkette, die in jede umfassende Risikoanalyse einfließen sollten:
- Finanzielle Stabilität und/oder Insolvenzrisiko
- Extremwetter- und klimabedingte Ereignisse
- Geopolitische Risiken
- ESG und Nachhaltigkeit
- Cybersecurity
- Handelskonformität
- Datentransparenz
Datengewinnung für Risikobewertungen
Sobald Unternehmen den Wert der Risikoermittlung bei ihren Lieferanten und die zu analysierenden Risikokategorien verstanden haben, sind sie bereit für die eigentliche Durchführung einer Bewertung. Der erste und wohl entscheidendste Schritt einer Risikoanalyse ist die Datenerhebung zu Lieferanten. Es gibt verschiedene Strategien für die Zusammenstellung dieser Informationen, und Unternehmen sollten sich nicht auf nur einen Ansatz festlegen, sondern mehrere Methoden kombinieren – beginnend mit der Auswertung öffentlich zugänglicher Informationen. Dazu zählen unter anderem Finanzdaten, die Standorte von Firmensitz und Produktionsstätten sowie ESG-Berichterstattung (die in Zukunft weiter an öffentlicher Sichtbarkeit gewinnen wird).
Nach Sammlung aller verfügbaren öffentlichen Informationen sollten Unternehmen Defizite identifizieren und für fehlende Daten direkt bei ihren Lieferanten nachfragen. Oft geschieht dies im zweiten Schritt mittels Fragebögen, die Hersteller zu Themen wie Sicherheitsmaßnahmen, Risikominderungsstrategien oder Lieferkettenmanagement befragen.
Der Shared Information Gathering (SIG)-Fragebogen ist beispielsweise ein Third-Party-Risikomanagement-Tool der Shared Assessments Organization. Er umfasst Hunderte von Fragen zu 21 Kernbereichen, unter anderem:
- Compliance Management
- Environmental, Social, and Governance (ESG)
- Enterprise Risk Management
- Cybersecurity Incident Management
- Network Security
- Operational Resilience
Fragebögen sind zwar wesentlich für die Datenerhebung, sollten aber nicht die einzige Informationsquelle über Lieferanten sein. „Ich denke nicht, dass dies Ihre einzige Quelle sein sollte“, betont Ahmad. „Sie benötigen mehrere Informationsquellen, um eine risikobasierte Entscheidung zu treffen, ob eine tiefere Analyse erforderlich ist.“
Entwicklung eines ganzheitlichen Risikobewertungsprozesses: Teil 2
Doch das Erkennen von Risikofeldern und die Erhebung aller relevanten Daten sind erst die ersten Schritte im übergeordneten Risikobewertungsprozess. Haben Hersteller diese Aufgaben erfolgreich gemeistert, stellt sich die Frage: Wie entwickelt und implementiert man ein Risikomodell sowie die zugehörige Bewertung in der Praxis?
Diese Fragen sowie die Darstellung besonderer Risiken in der Halbleiter-Lieferkette beleuchten wir in Teil zwei unseres Artikels Developing and Implementing a Risk Model for the Semiconductor Supply Chain.